SCADA Ağlarının Siber Güvenliğini sağlamak için 21 adım

SCADA ağları günlük hayatımızı destekleyen kritik altyapıların(elektrik, doğalgaz, su, ulaşım, sağlık vb.) hemen hepsinde görev almaktadır. Diğer ağlarda olduğu gibi SCADA ağlarında da modern sunucular, bilgisayarlar, anahtar/yönlendiriciler ve uygulamalar kullanılmaktadır. Bu modern altyapı ile bir yandan birbirinden oldukça uzak olan noktaların haberleşmesi ve izlenmesi sağlanırken bir yandan da potansiyel olarak güvenlik açıkları oluşabilir.

SCADA ağları daha çok verim ve fonksiyonellik temelli dizayn edildiğinden potansiyel güvenlik açıkları genellikle değerlendirilmeyebilir. Bu sebeple siber güvenlik olarak bu ağlar güçsüz olabilir ve potansiyel bir atak durumunda istenmeyen servis kesintileri, hatta servisin tamamen kaybedilmesi gibi kötü sonuçlara yol açabilir.

2001 yılında Amerikan Enerji Bakanlığı’nın başlattığı çalışma ile aşağıdaki 21 adım ile SCADA ağlarının güvenliğinin artırılması için tavsiyelerde bulunulmuştur. Dökümanın İngilizce orijinaline buradan ulaşabilirsiniz.

    1. SCADA ağındaki bütün bağlantıları belirleyin.
      • Intranet, WAN ve İş ağları
      • Internet bağlantıları
      • Kablosuz bağlantılar (Access Point, Uydu bağlantıları vb.)
      • Modem ya da dial-up bağlantılar
      • İş ortaklarına, tedarikçilere ve ya regülatif bağlantılar
    2. SCADA ağındaki gereksiz bağlantıları sökün.
      • Her ağa olan bağlantı potansiyel olarak risk oluşturur, bu sebeple SCADA ağınıza olan bağlantılardan gereksiz olanları mutlaka izole etmeniz (DMZ de kullanılabilir) gerekmektedir.
    3. Kalan SCADA bağlantılarını gözden geçirin ve gerekli güçlendirmelerin yapıldığından emin olun.
      • Güvenlik risk analizleri ve penetrasyon testleri ile SCADA ağınızın durumu hakkında raporlar edinilmeli ve gerekli çözümler(IDS/IPS, FW vb.) uygulanmalıdır.
    4. SCADA ağında kullanılması gerekmeyen uygulama ve hizmetleri durdurun.
      • e-posta, internet erişimi, uzaktan erişim hizmetleri gibi SCADA ağında sürekli kullanılması gerekmeyen hizmetler durdurulmalı ve erişimleri engellenmelidir.
    5. SCADA Protokollerinin ağınızı güvenli hale getireceğine güvenmeyin.
      • Güvenlik sadece SCADA protokolleri ile uygulanmamalıdır, birçok SCADA protokolü gerçek bir güvenlik sağlayamaz.
    6. Cihaz ve sistem üreticilerinin ürünleri için önerdiği güvenlik tanımlarını uygulayın.
      • Eski tip cihazlarda bu tarz yapılandırmalar pek bulunmasa da daha yeni cihazlarda güvenlik uygulamaları(SSL erişim, Kullanıcı Yönetimi, Log yönetimi vb.) bulunmaktadır. Varlıklarınızın durumlarına göre eğer güvenlik yapılandırmaları destekleniyorsa tedarikçinizden destek alarak bu yapılandırmaları uygulayın.
    7. Arka kapı(backdoor) olarak kullanılabilecek hesap ve cihazları kontrol altına alın.
      • Birçok üreticinin cihazlarında özel erişim sağlamak için hesaplar bulunabilir, bu hesapların bulunup erişim yetkilerinin kontrol edilmesi gerekmektedir.
    8. Ağınızın iç ve dışına saldırı tespit ve engelleme sistemleri (IDS/IPS) yerleştirin ve ağın 7/24 esaslı takip sağlayın.
      • IDS sistemleri ile SCADA ağınızın hareketlerini sürekli bir şekilde takip ederek, normal olmayan ve ya kötü niyetli hareketlerin en kısa sürede yakalanmasını sağlayın.
    9. SCADA ağınız, kurum ağınız ve diğer bağlı ağlar için periyodik olarak teknik denetimler gerçekleştirin.
      • Sistem ve Ağ Yöneticileri, gerekli teknik denetleme yazılımlarını kullanarak düzenli olarak ağ ve sistem denetimlerini gerçekleştirmelidir.
    10. Fiziksel erişimin güvenirliğini ölçmek ve sağlamak için merkez ve uzak sahalarda denetimler gerçekleştirin.
      • SCADA ağını oluşturan bütün cihazların bulundukları fiziksel ortamların izinsiz erişimlere kapalı olup olmadığını kontrol edin.
    11. SCADA ağına yapılabilecek saldırıları analiz ve tespit edebilecek şekilde ekibinizi eğitin ve ya yoksa oluşturun.
      • SCADA ağları konusunda uzman bir ekip ile oluşabilecek tehditlerin bir an önce farkedilip önlenmesini sağlayın.
    12. Siber Güvenlik rollerini, sorumluluklarını, ve kullanıcı yetkilerini açık ve anlaşılır bir şekilde belirleyin.
      • Bütün organizasyonun siber güvenlik konusunda bilgilendirilmesi ve rollerin belirlenerek erişimlerin yapılandırılması gerekmektedir.
    13. Ağ mimarisini dökümante edin ve kritik ve ya değerli bilgi taşıyan sistemlerinizi belirleyin.
      • Bütün SCADA ağının görünürlüğü ve bilgi yönetimi kapsamında dökümantasyonlarınızı sürekli güncel tutun.
    14. Özenli ve sürdürülebilir bir risk yönetim süreci oluşturun.
      • Tüm organizasyonun takip edebileceği etkili bir güvenlik ve risk yönetim süreci oluşturun.
    15. Ağınız için derinlikli bir koruma stratejisi oluşturun. (defense-in-depth principle)
      • Tüm erişim ve yetkilendirme kurallarını gözden geçirin. Fiziksel-Ağ-Uç nokta şeklinde derinlikli olarak koruma stratejinizi oluşturun.
    16. Siber Güvenlik gereksinimlerini tanımlayın.
      • Bir siber güvenlik programı ile kural ve prosedürlerinizi oluşturun. Organizasyonunuzdaki rol ve sorumlulukları tanımlayarak prosedürlerinizi düzenli takip edin.
    17. Etkili bir yapılandırma yönetimi süreci oluşturun.
      • Ağ ve cihaz konfigürasyonlarınızı sürekli güncel ve kontrol altında tutmak için bir yapılandırma yönetimi süreci oluşturun.
    18. Periyodik olarak iç denetimler gerçekleştirin.
      • Siber güvenlik prosedürlerinizin bir parçası olarak iç denetimler ile güvenliğinizi denetleyin.
    19. Sistem yedeklerini ve kurtarma planlarını oluşturun.
      • Olası bir sistem ve hizmet kaybını en kısa sürede telafi edebilmek amacıyla yedekleme ve kurtarma planlarınızı oluşturun.
    20. Üst yönetim olarak Siber Güvenlik için performans kriterleri ve sorumlularını belirleyin.
      • Organizasyonunuzun hedefleri doğrultusunda siber güvenlikten beklentilerinizi tanımlayın.
    21. SCADA ağının ve sistemlerinin güvenliği için iç kurallar koyun ve iç eğitimler ile organizasyonun konu hakkındaki bilgi seviyesini artırın.
      • Organizasyonunuzun bilgi seviyesini ve siber güvenlik prosedürlerinizi sürekli güncel tutmak ve bilinirliğini sağlamak için iç eğitimler düzenleyin.

Leave a Reply

Your email address will not be published. Required fields are marked *